Hoe trojans gaming-accounts stelen

Een speciaal soort malware gaat op zoek naar gebruikersgegevens, inclusief accounts voor gaming-diensten zoals Origin, Battle.net en Uplay.

We hebben het regelmatig over de online dreigingen waar gamers mee te maken hebben, inclusief malware in illegale kopieën, mods en cheats, om het nog niet over phishing en allerlei soorten oplichting bij het kopen of ruilen van in-game items. En nog niet zo lang geleden keken we naar de problemen met het kopen van accounts. Gelukkig is het eenvoudig om dit soort dreigingen te vermijden als u ervan afweet.

Maar er is een ander probleem waar u van op de hoogte moet zijn en waar u zich tegen moet beschermen: wachtwoordstelers. Als uw beveiligingsoplossingen ze detecteren, worden ze normaal gesproken aangemerkt als Trojan-PSW.(iets). Dit zijn trojans die zijn ontworpen om accounts te stelen — ofwel combinaties van gebruikersnaam/wachtwoord of sessietokens.

U hebt misschien al iets gelezen over Steam stealers — trojans die accounts op de populairste gaming-dienst ter wereld stelen. Maar er zijn nog tal van andere platforms, zoals bijvoorbeeld Battle.net, Origin, Uplay en de Epic Games Store. Hier gaan meerdere miljoenen euro’s in om, dus het is logisch dat aanvallers hierin geïnteresseerd zijn, en ook voor deze platforms bestaan er stelers.

 Wat zijn wachtwoordstelers?

Wachtwoordstelers zijn een soort malware die accountinformatie steelt. In principe zijn ze vergelijkbaar met banking trojans, maar in plaats van het onderscheppen of vervangen van de ingevoerde gegevens, stelen ze normaal gesproken informatie die al op de computer staat opgeslagen: gebruikersnamen en wachtwoorden die in de browser zijn opgeslagen, cookies en andere bestanden die op de harde schijf van het geïnfecteerde apparaat staan. Bovendien vormen game-accounts slechts één van de doelwitten van de stelers, en soms hebben ze net zoveel interesse uw online bankgegevens.

Stelers kunnen op tal van manieren een account te pakken krijgen. Laten we bijvoorbeeld eens naar de trojan Kpot kijken (ook wel Trojan-PSW.Win32.Kpot). Deze wordt voornamelijk via e-mailspam met bijlages verspreid die kwetsbaarheden gebruiken (bijvoorbeeld in Microsoft Office) om de daadwerkelijke malware op de computer te downloaden.

Vervolgens verstuurt de steler de informatie over programma’s die op de computer staan geïnstalleerd naar de command-and-contol-server en wacht hij op commando’s om verder te gaan. Dit kunnen bijvoorbeeld commando’s zijn om cookies te stelen, Telegram- en Skype-accounts en nog veel meer.

Bovendien kan deze malware bestanden met de .config-extensie uit de map %APPDATA%\Battle.net stelen, die zoals u al kunt raden gelinkt is aan Battle.net, Blizzards eigen game-launcher-app. Deze bestanden kunnen onder andere de sessietoken van de speler bevatten. De cybercriminelen krijgen dan niet de daadwerkelijke gebruikersnaam met het wachtwoord in handen, maar kunnen de token gebruiken om te doen alsof ze deze gebruiker zijn.

Waarom doen ze dat? Simpel: ze kunnen dan snel alle in-game items van het slachtoffer verkopen en soms valt daar goed geld mee te verdienen. Dit is een scenario dat goed mogelijk is in verschillende Blizzard-titels, zoals World of Warcraft en Diablo 3.

Andere malware die zich op Uplay richt, Ubisofts game-launcher-app, is bekend onder de naam Okasidis en wordt door onze oplossing als Trojan-Banker.MSIL.Evital.gen geïdentificeerd. Wat betreft gaming-accounts gedraagt deze malware op precies dezelfde wijze als de Kpot-trojan, alleen steelt het twee specifieke bestanden: %LOCALAPPDATA%\Ubisoft Game Launcher\users.dat en %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml.

Uplay is ook interessant voor malware met de naam Thief Stealer (gedetecteerd als HEUR:Trojan.Win32.Generic), die alle bestanden in de map %LOCALAPPDATA%\Ubisoft Game Launcher\ steelt.

Daarnaast zijn Uplay, Origin en Battle.net allemaal doelwitten van de BetaBot-malware (gedetecteerd als Trojan.Win32.Neurevt). Maar deze trojan gaat op een andere wijze te werk. Als de gebruiker een URL bezoekt die bepaalde trefwoorden bevat (alle adressen met de woorden “uplay” of “origin” bijvoorbeeld), schakelt de malware gegevensverzameling in voor de invulvelden op deze pagina’s. Dit betekent dat de gebruikersnamen en wachtwoorden die op deze pagina’s worden ingevoerd rechtstreeks naar de aanvallers gaan.

In alle drie de gevallen is het onwaarschijnlijk dat de gebruiker hier iets van merkt. De trojan maakt zichzelf niet kenbaar op de computer en toont geen vensters met verzoeken, maar steelt puur en alleen in het geheim bestanden en/of gegevens.

Hoe beschermt u zich tegen trojans die op uw gaming-accounts uit zijn?

In principe moeten gaming-accounts op dezelfde manier worden beschermd als al het andere, ook tegen stelers. Volg het onderstaande advies om pogingen van trojan-dieven te verijdelen:

  • Bescherm uw account met tweestapsverificatie. Steam heeft Steam Guard, Battle.net heeft Blizzard Authenticator en de Epic Games Store biedt de keuze tussen een authenticator-app en authenticatie via een sms of e-mail. Als uw account met tweestapsverificatie is beschermd, hebben de cybercriminelen meer nodig dan alleen een gebruikersnaam en wachtwoord om binnen te komen.
  • Download geen mods van verdachte websites of illegale software. Aanvallers zijn zich zeer bewust van het feit dat mensen dol zijn op alles wat gratis is, en daar maken ze gretig gebruik van via malware verborgen in cracks, cheats en mods.
  • Gebruik een betrouwbaar beveiligingssysteem. Kaspersky Security Cloud detecteert bijvoorbeeld alle stelers en verhindert dat ze iets kunnen stelen.
  • Zet uw antivirusprogramma niet uit tijdens het gamen. Als u dat wel doet, kan er zo’n wachtwoordsteler in actie komen. De gaming-modus van Kaspersky Security Cloud voorkomt dat het antivirusprogramma het systeem te zwaar belast tijdens het spelen. Dit is niet van invloed op de prestaties of frame rate, maar zorgt nog altijd voor bescherming.
Tips
Meld u aan om onze headlines in uw inbox te ontvangen
  • Voor alle andere landen